Syntaxfehler sind unser Schicksal, einschließlich Botnet-Autoren
Syntaxfehler sind unser Schicksal, einschließlich Botnet-Autoren
Erweitern / Wenn Sie zu Port 443 gelangen, verpassen Sie ihn besser nicht (oder vergessen Sie, ein Leerzeichen zwischen der URL und dem Port zu setzen).
Getty Images
KmsdBot, ein Krypto-Mining-Botnetz, das auch für Denial-of-Service-Angriffe (DDOS) verwendet werden könnte, drang über schwache Anmeldeinformationen für die sichere Shell in Systeme ein. Es konnte ein System fernsteuern, war schwer rückzuentwickeln, war nicht persistent und konnte auf mehrere Architekturen abzielen. KmsdBot war eine komplexe Malware ohne einfache Lösung.
Das war der Fall, bis Forscher von Akamai Security Research eine neue Lösung entdeckten: das Vergessen, ein Leerzeichen zwischen einer IP-Adresse und einem Port in einer Bestellung einzufügen. Und es kam von demjenigen, der das Botnet kontrollierte.
Ohne integrierte Fehlerprüfung führte das Senden eines fehlerhaften Befehls an KmsdBot, wie es seine Controller früher taten, während Akamai zusah, zu einem Panikabsturz mit einem „Index außerhalb des Bereichs Error". Da es keine Persistenz gibt, bleibt der Bot inaktiv und böswillige Agenten müssten einen Computer erneut infizieren und die Funktionen des Bots neu erstellen. Es ist, wie Akamai feststellt, „eine großartige Geschichte“ und „ein starkes Beispiel für die Unbeständigkeit von Technologie“.
KmsdBot ist eine faszinierende moderne Malware. Es ist in Golang geschrieben, teilweise weil Golang schwer rückzuentwickeln ist. Als der Honeypot von Akamai die Malware entdeckte, wechselte er standardmäßig zu einem Unternehmen, das private Grand Theft Auto Online-Server erstellt hatte. Es hat Kryptomining-Fähigkeiten, obwohl es latent war, während die DDOS-Aktivität lief. Manchmal wollte er andere Sicherheitsfirmen oder Luxusautomarken angreifen.
Forscher von Akamai zerlegten KmsdBot und sendeten ihm Befehle über netcat, als sie feststellten, dass es keine Angriffsbefehle mehr sendete. Da bemerkten sie, dass bei einem Angriff auf eine kryptofokussierte Website eine Lücke fehlte. Unter der Annahme, dass dieser Befehl an alle funktionierenden Instanzen von KmsdBot gesendet wird, stürzten die meisten von ihnen ab und blieben im Leerlauf. Das Senden einer absichtlich schlechten Anfrage an KmsdBot würde es auf einem lokalen System stoppen, was eine einfachere Wiederherstellung und Entfernung ermöglicht.
Larry Cashdollar, Senior Security Intelligence Response Engineer bei Akamai, sagte DarkReading, dass fast alle KmsdBot-Aktivitäten, die sein Unternehmen verfolgt, eingestellt wurden, obwohl die Autoren dies möglicherweise versuchen die Systeme erneut infizieren. Die Verwendung der Public-Key-Authentifizierung für sichere Shell-Anmeldungen oder zumindest die Verbesserung der Anmeldeinformationen ist jedoch in erster Linie die beste Verteidigung.
Erweitern / Wenn Sie zu Port 443 gelangen, verpassen Sie ihn besser nicht (oder vergessen Sie, ein Leerzeichen zwischen der URL und dem Port zu setzen).
Getty Images
KmsdBot, ein Krypto-Mining-Botnetz, das auch für Denial-of-Service-Angriffe (DDOS) verwendet werden könnte, drang über schwache Anmeldeinformationen für die sichere Shell in Systeme ein. Es konnte ein System fernsteuern, war schwer rückzuentwickeln, war nicht persistent und konnte auf mehrere Architekturen abzielen. KmsdBot war eine komplexe Malware ohne einfache Lösung.
Das war der Fall, bis Forscher von Akamai Security Research eine neue Lösung entdeckten: das Vergessen, ein Leerzeichen zwischen einer IP-Adresse und einem Port in einer Bestellung einzufügen. Und es kam von demjenigen, der das Botnet kontrollierte.
Ohne integrierte Fehlerprüfung führte das Senden eines fehlerhaften Befehls an KmsdBot, wie es seine Controller früher taten, während Akamai zusah, zu einem Panikabsturz mit einem „Index außerhalb des Bereichs Error". Da es keine Persistenz gibt, bleibt der Bot inaktiv und böswillige Agenten müssten einen Computer erneut infizieren und die Funktionen des Bots neu erstellen. Es ist, wie Akamai feststellt, „eine großartige Geschichte“ und „ein starkes Beispiel für die Unbeständigkeit von Technologie“.
KmsdBot ist eine faszinierende moderne Malware. Es ist in Golang geschrieben, teilweise weil Golang schwer rückzuentwickeln ist. Als der Honeypot von Akamai die Malware entdeckte, wechselte er standardmäßig zu einem Unternehmen, das private Grand Theft Auto Online-Server erstellt hatte. Es hat Kryptomining-Fähigkeiten, obwohl es latent war, während die DDOS-Aktivität lief. Manchmal wollte er andere Sicherheitsfirmen oder Luxusautomarken angreifen.
Forscher von Akamai zerlegten KmsdBot und sendeten ihm Befehle über netcat, als sie feststellten, dass es keine Angriffsbefehle mehr sendete. Da bemerkten sie, dass bei einem Angriff auf eine kryptofokussierte Website eine Lücke fehlte. Unter der Annahme, dass dieser Befehl an alle funktionierenden Instanzen von KmsdBot gesendet wird, stürzten die meisten von ihnen ab und blieben im Leerlauf. Das Senden einer absichtlich schlechten Anfrage an KmsdBot würde es auf einem lokalen System stoppen, was eine einfachere Wiederherstellung und Entfernung ermöglicht.
Larry Cashdollar, Senior Security Intelligence Response Engineer bei Akamai, sagte DarkReading, dass fast alle KmsdBot-Aktivitäten, die sein Unternehmen verfolgt, eingestellt wurden, obwohl die Autoren dies möglicherweise versuchen die Systeme erneut infizieren. Die Verwendung der Public-Key-Authentifizierung für sichere Shell-Anmeldungen oder zumindest die Verbesserung der Anmeldeinformationen ist jedoch in erster Linie die beste Verteidigung.
Erweitern / Wenn Sie zu Port 443 gelangen, verpassen Sie ihn besser nicht (oder vergessen Sie, ein Leerzeichen zwischen der URL und dem Port zu setzen).
Getty Images
